Aktualności

serwery Apache podatne na atak DoS

Data publikacji: 25/08/2011, CERT Polska


Serwery Apache w wersji 1.3/2.x są podatne na łatwy do przeprowadzenia atak typu DoS (CVE-2011-3192).
Problem leży w złej obsłudze nagłówka Range w żądaniach HTTP prowadzącej do zużycia całej pamięci systemu.
Czytaj więcej

Boty w polskich sieciach 2011.

Data publikacji: 22/08/2011, rt

Wyk.1. Bots by type
Wyk.1. Bots by type

W pierwszej połowie 2011 roku zauważyliśmy ponad 1 mln botów. Bezsprzecznie dominowały dwa z nich Torpig oraz Rustock. Ich liczebność była co najmniej trzy razy wyższa niż pozostałych. Zauważyliśmy prawie 380 tys. maszyn zainfekowanych Torpigiem oraz prawie 350 tys. Rustockiem. Poza nimi znaczący udział miały boty ircowe, Mebroot oraz Conficker. W przypadku botów ircowych mamy do czynienia ze składową wielu odmian botów. Jedną wspólną, wyróżniającą je cechą był kanał zarządzania jakim był IRC. Na szczególną uwagę zasługuje Mebroot, który jest wykorzystywany do wykradania danych klientów instytucji finansowych. Co prawda w większości przypadków poważne, dedykowane ataki są ukierunkowane na podmioty zagraniczne, przy czym istnieje duże prawdopodobieństwo trafienia do botnetu, którego celem jest polski użytkownik.

Czytaj więcej

SECURE 2011 – rejestracja rozpoczęta!

Data publikacji: 02/08/2011, CERT Polska

Z przyjemnością informujemy, że od dziś można rejestrować swój udział w konferencji SECURE 2011.

Tylko do 31 sierpnia obowiązuje 20% zniżki za wczesną rejestrację!

Konferencja odbędzie się 24-26 października 2011 r. w Centrum Konferencyjnym Adgar Plaza w Warszawie. To unikalna okazja, aby posłuchać czołowych ekspertów z dziedziny bezpieczeństwa z całego świata a także rozwinąć swoje umiejętności podczas praktycznych warsztatów SECURE Hands-on.

Prelegentami SECURE 2011 będą m.in.:

  • Brian Krebs (KrebsOnSecurity) – twórca najsłynniejszego amerykańskiego bloga dot. tematyki cyberbezpieczeństwa, były dziennikarz „Washington Post”,
  • Richard Perlotto (Shadowserver Foundation) – założyciel i jeden z dyrektorów słynnej organizacji non-profit zajmującej się monitorowaniem zagrożeń w sieci, doradca ds. bezpieczeństwa informacji w Cisco,
  • Ryan Seu (Facebook) – członek zespołu bezpieczeństwa serwisu Facebook.

Zobacz więcej prelegentów…

Czytaj więcej

Ataki na użytkowników sklepów osCommerce – analiza

Data publikacji: 29/07/2011, CERT Polska

osCommerce infection

Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.

Czytaj więcej

Masowa infekcja stron internetowych

Data publikacji: 27/07/2011, CERT Polska

Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej „infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:

CVE-2010-0840 – Java Trust
CVE-2010-0188 – PDF LibTiff
CVE-2010-0886 – Java SMB
CVE-2006-0003 – IE MDAC
CVE-2010-1885 – HCP

Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.

Aby zapobiec infekcji CERT Polska doradza użytkownikom wyłączenie obsługi JavaScript w przeglądarce do czasu uzyskania nowych informacji o zagrożeniu.

Jeśli posiadasz witrynę pracującą w oparciu o osCommerce, sprawdź, czy nie padła ona ofiarą ataku (np. czy w ramkach iframe nie ma odniesień do nieznanych lub dziwnych witryn).

O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.

Z wynikami wstępnej analizy można zapoznać się na blogu Armorize.

Wizualizacja ech ataków DDoS

Data publikacji: 15/07/2011, pp

viz-abstract-a

Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn. Aby dokładniej przyjrzeć się charakterystyce analizowanego ruchu, przygotowaliśmy wizualizacje przedstawiające przepływy z portu 80/TCP otrzymywane przez nasze honeypoty.

Czytaj więcej

Ataki na konfiguracje DNS

Data publikacji: 13/07/2011, CERT Polska

padlockBez wątpienia DNS jest jedną z najważniejszych usług w internetowym ekosystemie, zarówno dla zwykłych użytkowników, firm jak i przestępców. Paradoksalnie, przezroczystość i wszechobecność DNSu powoduje, że wielu administratorów nie zdaje sobie sprawy jak poważne konsekwencje mogą nieść za sobą udane ataki na DNS.
Czytaj więcej

Uwaga na wyłudzaczy z Hong Kongu

Data publikacji: 01/07/2011, przemek

Do skrzynek pocztowych polskich internautów trafiły ostatnio maile o treści:

Od: Peter Wong Shun Tung <[...]@[...].hk>
Odpowiedz do: peter[….]@yahoo.com.hk

Witam serdecznie,

Nazywam sie Peter Wong Shun Tung z Hang Seng Bank w Hongkongu i mam do Panstwa delikatna i poufna propozycje z Hong Kongu. Chcialbym zaproponowac relacje partnerskie ktore pomoga zmienic profil pewnych funduszy (22,500,000.00 EUR). Pozwolilem sobie skontaktowac sie z Panstwem, poniewaz nie mieszkaja Panstwo w Hong Kongu. Prosze miec na uwadze, ze cala sprawa musi zostac zakonczona przed uplywem dwoch tygodni. Oczekuje na odpowiedz, o ktora uprzejmie prosze. W nastepnej wiadomosci przekaze wiecej szczegolow o sobie i o prezentowanej przeze mnie propozycji.

Pozdrawiam,
Peter Wong Shun Tung.
peter[….]@yahoo.com.hk

List wysyłany jest z chińskich serwerów. Peter Wong Shun Tung jest w rzeczywistości prezesem banku HSBC. Trudno jednak spodziewać się, żeby z prywatnego konta na Yahoo zapraszał polskich internautów do zrobienia świetnego poufnego interesu. Oczywiście, maile te są próbą wyłudzenia pieniędzy, polegającą na zaangażowaniu odbiorcy w proces rzekomego zdobycia czy przekazania ogromnych funduszy, od których ma on otrzymać znaczący procent. W trakcie okazuje się, że należy uregulować wiele opłat manipulacyjnych, które naturalnie mają zostać później zwrócone z nawiązką.

Wyłudzenia tego typu nie są niczym nowym. Są znane od wielu lat jako „przekręt nigeryjski” (od kraju, którego obywatele rozpowszechnili ten proceder), 419 scam (od numeru artykułu dotyczącego pozyskania cudzego majątku przez oszustwo w nigeryjskim kodeksie karnym) lub z angielskiego „advance-fee fraud”. Procederem tym wielokrotnie trudniły się także zorganizowane grupy przestępcze, głównie z krajów afrykańskich. Należy więc być wyjątkowo ostrożnym w ewentualnych kontaktach z przestępcami. Znane są bowiem przypadki uprowadzeń dla okupu oraz zniknięć bez śladu osób, które próbowały prowadzić grę z przestępcami.

Nowością jest pojawienie się tego rodzaju listów pisanych niemal bezbłędną polszczyzną. Z pewnością w tworzeniu treści brała udział osoba polskojęzyczna. Być może korzystano z „wynajętego” tłumacza, a może doszło do połączenia sił różnych organizacji przestępczych?

W każdym razie, stanowczo zalecamy nie odpowiadanie na podobne emaile niezależnie od proponowanej kwoty wynagrodzenia i języka, w którym list jest napisany.

Nietypowe skanowanie UDP

Data publikacji: 29/06/2011, pp

skanowanie

W zeszłym tygodniu zaobserwowaliśmy interesujący ruch sieciowy, będący efektem skanowania przeprowadzonego na dużą skalę. Skanowanie losowych adresów w celu sprawdzenia ich dostępności lub podatności na ataki nie jest niczym niezwykłym i codziennie rejestrujemy aktywność tego typu. Jednak wspomniany skan miał nietypową charakterystykę, co spowodowało, że postanowiliśmy mu się dokładniej przyjrzeć.

Czytaj więcej

Analiza hamweq – malware służącego do ataków DDoS

Data publikacji: 03/06/2011, CERT Polska

hamweq

W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.

W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.

Raport można pobrać pod adresem : https://www.cert.pl/wp-content/uploads/2011/06/201106_hamweq.pdf